Крипто-бизнес в ОАЭ в 2026 году: VARA, FSRA, DFSA, лицензии VASP и банковский комплаенс

Введение. Почему ОАЭ — самая зрелая крипто-юрисдикция 2026 года

ОАЭ занимают уникальную позицию в глобальном ландшафте регулирования виртуальных активов. Это единственная страна в мире, создавшая выделенный регуляторный орган исключительно для виртуальных активов — VARA в Дубае — ещё в 2022 году, задолго до того, как большинство юрисдикций приступили к разработке хоть сколько-нибудь связных правил.

К 2026 году регуляторная архитектура ОАЭ для виртуальных активов приобрела трёхуровневую структуру: федеральный уровень (Управление по рынкам капитала, CMA — ранее SCA, и Центральный банк ОАЭ), эмиратский уровень (VARA для Дубая, CMA для прочих эмиратов) и уровень финансовых фризон (FSRA в ADGM, DFSA в DIFC). Каждый из этих регуляторов имеет собственные лицензионные требования, собственные нормативные акты и собственную целевую аудиторию.

Непонимание этой архитектуры — самая частая ошибка предпринимателей, планирующих открыть крипто-компанию в ОАЭ: они пытаются выбрать «лучший регулятор» вместо того, чтобы сначала определить свою бизнес-модель, аудиторию и тип активов — и лишь затем подбирать соответствующую юрисдикцию.

Эта статья — системный разбор регуляторного ландшафта, лицензионных категорий, требований к капиталу, AML-обязательств и банковского комплаенса для крипто-компаний в ОАЭ в 2026 году.

Часть I. Регуляторная архитектура: кто за что отвечает

1.1. Федеральный уровень: CMA и Центральный банк ОАЭ

Cabinet Resolution No. 111 of 2022 (опубликовано 15 декабря 2022 года, вступило в силу 14 января 2023 года) установило федеральную правовую основу для регулирования виртуальных активов в ОАЭ. Этим документом Управление по рынкам капитала (CMA) — ранее именовавшееся Комиссией по ценным бумагам и товарным рынкам (SCA) — назначено главным федеральным регулятором виртуальных активов с правом делегирования полномочий местным лицензирующим органам, включая VARA.

В августе 2025 года CMA и VARA подписали соглашение о сотрудничестве, установившее механизм взаимного признания лицензий: VASP, лицензированный VARA в Дубае, вправе по умолчанию обслуживать клиентов по всей территории ОАЭ с регистрацией в CMA без повторного лицензирования. VASP, желающий работать в эмиратах за пределами Дубая, лицензируется CMA напрямую.

Центральный банк ОАЭ (CBUAE) регулирует платёжные токены (payment tokens) — стейблкоины и иные виртуальные активы, используемые в качестве средства платежа. Соответствующая нормативная база: Payment Token Services Regulation (PTSR), введённый Центральным банком. Компании, желающие выпускать или принимать к оплате платёжные токены в ОАЭ, подпадают под его юрисдикцию.

1.2. VARA: регулятор виртуальных активов Дубая

Virtual Assets Regulatory Authority (VARA) создана Dubai Law No. 4 of 2022 Regulating Virtual Assets in the Emirate of Dubai. VARA — первый в мире выделенный регулятор исключительно для виртуальных активов. Юрисдикция: весь эмират Дубай, включая все фризоны и материковую часть, за исключением DIFC.

7 февраля 2023 года VARA выпустила Virtual Assets and Related Activities Regulations 2023 — исчерпывающую нормативную базу, охватывающую все категории деятельности VASP. 19 мая 2025 года вступила в силу версия VARA Rulebook V2.0, заменившая предыдущие редакции и введшая новые стандарты по злоупотреблениям рынком, а также отдельный свод правил для выпуска виртуальных активов (Virtual Asset Issuance Rulebook).

VARA выступает как суверенный регулятор, действующий в рамках федерального мандата CMA, с собственными нормативными правилами, лицензионными процедурами и правоприменительными полномочиями.

1.3. FSRA: регулятор ADGM для виртуальных активов

Financial Services Regulatory Authority (FSRA) регулирует деятельность с виртуальными активами в Abu Dhabi Global Market (ADGM) — финансовой фризоне Абу-Даби с собственной правовой системой, основанной на английском общем праве. FSRA — один из первых регуляторов в мире, лицензировавших торговые платформы для виртуальных активов в формате Multilateral Trading Facilities (MTF).

В июне 2025 года FSRA ввела обновлённую Financial Services and Markets (Amendment No. 1) Regulations 2025:

— Введена деятельностная тарифная сетка для VASP (activity-based fee structure);

— Повышены минимальные требования к капиталу для кастодианов: до AED 5 млн;

— Расширены полномочия регулятора по вмешательству в продукты (product intervention powers);

— Введён прямой запрет на токены приватности (privacy tokens), алгоритмические стейблкоины и активы, препятствующие отслеживанию транзакций;

— В сентябре 2025 года FSRA опубликовала консультационный документ по регулированию стейкинга виртуальных активов клиентских средств — обратная связь находится на рассмотрении.

В ADGM могут использоваться только Accepted Virtual Assets (AVAs) — активы, прошедшие оценку FSRA на предмет соответствия техническим, комплаенс- и риск-требованиям. Bitcoin, Ethereum и ряд регулируемых стейблкоинов включены в список AVA. Privacy-токены и алгоритмические стейблкоины — запрещены.

1.4. DFSA: регулятор DIFC

Dubai Financial Services Authority (DFSA) регулирует деятельность с виртуальными активами в Dubai International Financial Centre (DIFC). DIFC, как и ADGM, является финансовой фризоной с собственной правовой системой на основе английского общего права и выведен из-под юрисдикции VARA.

DFSA использует Investment Token как основную классификацию для цифровых активов с характеристиками ценных бумаг. Применяет требования, сопоставимые с FSRA, но ориентированные на инфраструктуру финансовых рынков. DIFC подходит для компаний, ориентированных на институциональных клиентов и работающих со структурированными финансовыми продуктами.

Часть II. VARA: семь лицензионных категорий и процедура получения лицензии

2.1. Семь категорий лицензируемой деятельности VARA

VARA лицензирует следующие виды деятельности с виртуальными активами:

Таблица: Виды деятельности и требования к капиталу VARA (2026)

Вид деятельности	Минимальный капитал (USD)
Advisory Services (консалтинг)	27 300 (AED 100 000)
Broker-Dealer Services (брокер-дилер)	109 000 или 15% постоянных накладных расходов
Custody Services (кастодиан)	218 000 или 15% постоянных накладных расходов
Exchange Services (биржа)	218 000 или 15% постоянных накладных расходов
Lending & Borrowing (кредитование)	136 300 (AED 500 000) или 25% постоянных накладных расходов
VA Management & Investment	109 000 или 15% постоянных накладных расходов
Transfer & Settlement (платежи)	218 000 или 15% постоянных накладных расходов

Источник: VARA Rulebook V2.0, 2025. Применяется большее из двух значений.

Помимо перечисленных, VARA Rulebook V2.0 ввела режим Sponsored VASP — новую модель, позволяющую операторам действовать под надзором лицензированного Regulated Sponsor с ограниченными полномочиями и строгим контролем спонсора. Это снижает порог входа для малых компаний, но не отменяет комплаенс-требований.

Проприетарная торговля виртуальными активами (собственный счёт, без клиентских средств): компании не требуется VASP-лицензия, однако при 30-дневном скользящем объёме торговли свыше USD 250 млннеобходима регистрация в VARA. Для торговли меньшего объёма достаточно получить NOC (No Objection Certificate) от VARA.

2.2. Двухэтапная процедура лицензирования VARA

Лицензирование VARA состоит из двух последовательных этапов. Типичный срок с момента подачи IDQ до получения полной лицензии — 4–7 месяцев в зависимости от сложности и числа запрашиваемых видов деятельности.

Этап 1 — Initial Approval (первоначальное одобрение):

1.  Подача Initial Disclosure Questionnaire (IDQ) — через орган фризоны или DET (для мейнленд-компаний). Вместе с IDQ подаётся Regulatory Business Plan — детальный документ, описывающий деловые активности, структуру управления, политику управления рисками и модель монетизации;

2.  Оплата первоначальных регистрационных сборов;

3.  Рассмотрение VARA операционной готовности, структуры управления и комплаенс-фреймворка.

Этап 2 — Full VASP License (полная лицензия VASP):

1.  Подтверждение выполнения всех требований — офис, персонал, технологическая инфраструктура;

2.  Назначение обязательных должностных лиц: MLRO (Money Laundering Reporting Officer), комплаенс-офицер, исполнительный директор — все с опытом, соответствующим требованиям VARA;

3.  Представление и одобрение комплаенс-политик: AML/CFT, KYC, мониторинг транзакций, Travel Rule;

4.  Демонстрация технологической инфраструктуры — системы мониторинга транзакций, on-chain и off-chain сигналы, санкционный скрининг;

5.  Получение полной лицензии VASP от VARA.

Требование физического присутствия: VARA требует, чтобы все лицензиаты имели реальный арендованный или собственный офис в Дубае. Виртуальный адрес не принимается. Компания должна быть зарегистрирована в Дубае (через DET или фризону Дубая, за исключением DIFC) с одной из корпоративных форм, одобренных VARA.

Часть III. AML/CFT требования для VASP в ОАЭ в 2026 году

С принятием Federal Decree-Law No. 10 of 2025 (вступил в силу 14 октября 2025 года) поставщики услуг виртуальных активов были прямо и исчерпывающим образом включены в периметр обязанных субъектов AML/CFT — наравне с банками и нефинансовыми организациями (DNFBP). Это самое значимое изменение для крипто-компаний в ОАЭ за 2025 год.

3.1. Что изменилось для VASP после Federal Decree-Law No. 10 of 2025

— VASP получили статутное признание как отдельная категория регулируемых субъектов с полным объёмом превентивных обязательств: надлежащая проверка клиентов (CDD), мониторинг транзакций, прямая отчётность в Подразделение финансовой разведки (FIU);

— Деятельность с виртуальными активами без лицензии или регистрации в уполномоченном органе теперь является уголовным правонарушением по статье 20 закона; максимальное наказание — лишение свободы;

— Запрет на токены полной анонимности: ни один VASP в ОАЭ не вправе исполнять переводы токенов, обеспечивающих полную анонимность и препятствующих отслеживанию транзакций компетентными органами;

— Максимальный административный штраф для юридических лиц: AED 100 млн;

— FIU получило расширенные полномочия по заморозке активов, включая криптоактивы, без предварительного уведомления.

Cabinet Resolution No. 134 of 2025 (Исполнительный регламент к новому AML-закону, опубликован 15 ноября 2025 года, вступил в силу 14 декабря 2025 года) впервые прямо распространил требования Executive Regulations на VASP. Ключевое отличие от банков: порог для обязательной верификации клиента (CDD) у VASP — AED 3 500за одну или связанные транзакции (у банков — AED 55 000 для отдельных транзакций и AED 3 500 для разовых переводов).

3.2. Travel Rule для виртуальных активов

Travel Rule (правило путешествия) — требование FATF Recommendation 16, обязывающее VASP при переводе виртуальных активов передавать информацию об отправителе и получателе перевода вместе с самим переводом. В ОАЭ Travel Rule для виртуальных активов введено CBUAE и включено в Compliance and Risk Management Rulebook VARA.

Пороговое значение: USD 1 000 (приблизительно AED 3 672) — за одну или связанные транзакции.

Требования Travel Rule:

— VASP-отправитель обязан собрать: полное имя отправителя, номер счёта или адрес кошелька, физический адрес или идентификационный номер (паспорт/идентификатор), страну, ФИО получателя, адрес кошелька получателя;

— VASP-получатель обязан верифицировать полученную информацию и провести скрининг по санкционным спискам;

— Переводы на/с неподключённых кошельков (unhosted wallets) выше порога: VASP обязан собрать самодекларацию клиента об источнике средств и цели перевода, применить усиленную проверку;

— VASP обязаны использовать технологически совместимое решение Travel Rule — доступны несколько одобренных поставщиков (Sygna Bridge, Notabene, Shyft и другие).

3.3. Операционные AML-требования для VASP

Независимо от регулятора (VARA, FSRA, DFSA, CMA), все VASP в ОАЭ обязаны:

1.  Назначить MLRO (Money Laundering Reporting Officer) — лицо, несущее юридическую ответственность за AML/CFT комплаенс компании и являющееся первичным контактом с FIU;

2.  Разработать и внедрить программу AML/CFT, включающую: оценку рисков клиентов, процедуры CDD/EDD, мониторинг транзакций в режиме реального времени, политику скрининга по санкционным спискам;

3.  Подавать STR (Suspicious Transaction Reports) через платформу goAML — систему FIU ОАЭ. Неподача STR является самостоятельным правонарушением;

4.  Проводить скрининг по санкционным спискам ООН, спискам целевых финансовых санкций ОАЭ, а также базам данных OFAC и EU (для компаний с международными операциями) — в режиме реального времени;

5.  Интегрировать on-chain аналитику (blockchain analytics) — мониторинг транзакций на уровне блокчейна для выявления адресов, связанных с мошенничеством, санкционными субъектами или тёмными рынками. VARA Rulebook V2.0 прямо указывает, что VASP должны объединять on-chain и off-chain сигналы в единую систему анализа поведения клиента;

6.  Вести документацию по всем KYC-решениям, транзакционному мониторингу и STR в течение не менее 5 лет.

Часть IV. Банковский счёт для крипто-компании в ОАЭ: реальность 2026 года

Открытие корпоративного банковского счёта — наиболее болезненный операционный этап для крипто-компаний даже при наличии действующей лицензии VARA или FSRA. Это не случайность: банки ОАЭ работают под одновременным давлением нового AML-законодательства и активной фазы взаимной оценки FATF.

4.1. Почему банки отказывают крипто-компаниям — даже лицензированным

Наличие лицензии VARA или FSRA — необходимое, но не достаточное условие для открытия банковского счёта. Банки оценивают не только регуляторный статус, но и:

— Характер транзакций: банк должен иметь возможность отслеживать и объяснять регулятору каждый входящий и исходящий платёж. Смешанный фиатный/крипто оборот без чётких процедур вызывает немедленные вопросы;

— Клиентская база: если ваши клиенты — розничные инвесторы в криптовалюту из юрисдикций высокого риска, банк расценивает это как концентрированный риск;

— Объём транзакций: криптовалютные компании, как правило, имеют высокий объём транзакций с нестандартным профилем риска;

— Репутационный риск: банки не хотят быть ассоциированы с бизнесом, который потенциально может получить публичное внимание регулятора.

4.2. Банки, открытые к работе с лицензированными VASP

По состоянию на 2026 год следующие финансовые институты работают с VASP при наличии лицензии:

— Zand Bank — первый в ОАЭ полностью цифровой банк, специализирующийся на корпоративных и крипто-нативных клиентах. Принимает VARA- и FSRA-лицензированных VASP. Поддерживает мультивалютные счета и интеграцию с криптовалютными операциями;

— Wio Bank — цифровой банк с лицензией CBUAE, партнёрскими программами с рядом фризон. Рассматривает лицензированных VASP в зависимости от профиля деятельности;

— Emirates Islamic Bank и ряд других традиционных банков — рассматривают заявки от лицензированных VASP с устоявшейся операционной историей и прозрачной клиентской базой на индивидуальной основе;

— Банки внутри ADGM и DIFC — традиционно более открыты к финансовым услугам, связанным с виртуальными активами, при наличии соответствующей лицензии FSRA или DFSA.

4.3. Что банк проверяет в крипто-компании

Помимо стандартного корпоративного KYC (лицензия, MOA, UBO, паспорта директоров, источник средств), для крипто-компаний добавляется специфический блок проверки:

— Копия действующей лицензии VARA/FSRA/DFSA/CMA с перечнем разрешённых видов деятельности;

— Политика AML/CFT компании — включая Travel Rule процедуры;

— Описание технологической инфраструктуры: какие блокчейны поддерживаются, какие инструменты on-chain аналитики используются;

— Перечень обслуживаемых юрисдикций: банки особенно внимательны к наличию клиентов из США (FATCA), стран под санкциями или из юрисдикций высокого риска FATF;

— Политика в отношении розничных клиентов vs институциональных: банки значительно охотнее работают с B2B-ориентированными VASP;

— Политика в отношении неподключённых кошельков (unhosted wallets): банки с повышенной осторожностью относятся к компаниям, не имеющим строгих процедур для таких кошельков.

4.4. Практические рекомендации

До визита в банк: подготовьте полный пакет AML-документации — не в виде общих заявлений, а в виде конкретных политик с процедурными деталями. Банковский комплаенс-офицер будет задавать технические вопросы о вашей системе мониторинга транзакций, Travel Rule-решении и процедурах скрининга.

Последовательность приоритетов: сначала получите лицензию → разработайте полный AML-фреймворк → затем обращайтесь в банк. Крипто-компании, пытающиеся открыть счёт до лицензирования, неизменно получают отказ.

Рассмотрите альтернативы: для международных фиатных расчётов ряд лицензированных VASP использует Electronic Money Institutions (EMI) с европейскими лицензиями в сочетании с корпоративным счётом в ОАЭ. Это требует отдельного юридического анализа, но допустимо.

Часть V. Сравнение регуляторных путей: VARA vs ADGM FSRA vs DIFC DFSA vs CMA

Сравнительная таблица регуляторов ОАЭ для виртуальных активов

Параметр	VARA (Дубай)	FSRA (ADGM)	DFSA (DIFC)	CMA (федеральный)
Юрисдикция	Дубай (кроме DIFC)	ADGM, Абу-Даби	DIFC, Дубай	Все эмираты кроме DIFC/ADGM
Правовая база	Dubai Law No. 4 of 2022	Английское общее право, FSMR	Английское общее право, DIFC Laws	Cabinet Resolution 111/2022
Целевая аудитория	Розничные и институциональные	Прежде всего институциональные	Институциональные	Всё ОАЭ кроме FFZ
Мин. капитал	USD 27–409 тыс. по типу	AED 5 млн+ для кастодианов	По виду деятельности	По виду деятельности
Допустимые активы	Bitcoin, ETH и другие (кроме полностью анонимных)	Только AVA по списку FSRA	Investment Tokens по списку DFSA	По классификации CMA
Срок лицензии	4–7 месяцев	3–6 месяцев	3–6 месяцев	4–8 месяцев
Privacy tokens	Запрещены	Запрещены	Запрещены	Запрещены

Когда выбирать VARA: бизнес-модель ориентирована на розничных и профессиональных клиентов в Дубае; требуется широкая линейка активов; нужна максимальная операционная детальность в нормативной базе.

Когда выбирать FSRA/ADGM: приоритет — институциональные клиенты, управление активами, фонды; необходима правовая система на основе английского общего права; важна репутация для привлечения международных инвесторов.

Когда выбирать DFSA/DIFC: приоритет — финансовая инфраструктура, торговые платформы, инвестиционные продукты с токенизированными ценными бумагами; нужен доступ к экосистеме DIFC.

Часть VI. Корпоративный налог для крипто-компаний в ОАЭ

Лицензированные VASP в ОАЭ подпадают под общий режим корпоративного налога согласно Federal Decree-Law No. 47 of 2022: 0% на прибыль до AED 375 000 и 9% на прибыль сверх этого порога.

Специфика для фризон: крипто-компании в фризонах теоретически могут претендовать на статус QFZP и ставку 0%, однако большинство крипто-видов деятельности (exchange, custody, lending) не входят в перечень квалифицируемых видов деятельности MD No. 229 of 2025. Управление фондами (fund management services) — входит. Это означает, что управляющие крипто-фондами с FSRA-лицензией, работающие в ADGM-фризоне, потенциально могут претендовать на статус QFZP при выполнении всех условий. Для биржевых и кастодиальных операций стандартная ставка 9% применима.

Важно: крипто-компании с выручкой до AED 3 млн вправе претендовать на Small Business Relief до 31 декабря 2026 года — при условии, что они не являются QFZP и не входят в МНК-группу.

Часть VII. Типичные ошибки при запуске крипто-бизнеса в ОАЭ

Ошибка 1. Попытка работать без лицензии «пока идёт процесс»

По статье 20 Federal Decree-Law No. 10 of 2025 незалицензированная деятельность VASP является уголовным правонарушением. «Мягкий запуск» до получения лицензии — это не предпринимательская гибкость, это уголовная ответственность.

Ошибка 2. Выбор регулятора без анализа бизнес-модели

VARA, FSRA и DFSA имеют разные списки допустимых активов, разные требования к капиталу и разные целевые аудитории. Выбор «самого дешёвого» регулятора без сопоставления со своей бизнес-моделью в 90% случаев ведёт к необходимости повторного лицензирования.

Ошибка 3. Недооценка AML-инфраструктуры

VARA и FSRA ожидают от лицензиатов реальной AML-инфраструктуры — не шаблонных политик, а работающих систем: on-chain аналитика, Travel Rule-решение, функционирующий мониторинг транзакций в реальном времени. Фиктивный комплаенс обнаруживается при первой же регуляторной проверке.

Ошибка 4. Обращение в банк до лицензирования

Банки ОАЭ не открывают счета крипто-компаниям без действующей VARA/FSRA/DFSA/CMA лицензии. Любая попытка открыть счёт до этого этапа создаёт запись об отказе, которая видна другим банкам при проверке.

Ошибка 5. Игнорирование запрета на privacy-токены

Monero, Zcash и аналогичные токены с полной анонимностью транзакций запрещены для операций во всех юрисдикциях ОАЭ. Поддержка этих активов в продуктах или на платформе влечёт немедленные регуляторные последствия.

Заключение. ОАЭ — это не офшор для крипты. Это регулируемый рынок.

Ошибочное представление о том, что ОАЭ — это «лёгкая юрисдикция» для крипто-бизнеса, обходится дорого. ОАЭ создали наиболее подробную и требовательную регуляторную архитектуру для виртуальных активов в мире. Это привлекает серьёзных игроков — и отсеивает тех, кто ищет регуляторный арбитраж.

Правильная последовательность действий:

1.  Определите бизнес-модель — виды деятельности, активы, клиентская база, целевые рынки;

2.  Выберите регулятора — VARA, FSRA, DFSA или CMA в зависимости от параметров бизнеса;

3.  Создайте AML-инфраструктуру — MLRO, политики, системы мониторинга, Travel Rule;

4.  Пройдите лицензирование — IDQ, Regulatory Business Plan, VASP License;

5.  Откройте банковский счёт — с полным AML-пакетом и лицензией на руках;

6.  Запустите операции с непрерывным соблюдением требований VARA/FSRA и FTA.

Платформа UPPERSETUP помогает предпринимателям пройти первые шаги этого пути: от выбора юрисдикции и регистрации операционного юридического лица до подготовки к банковскому комплаенсу.

Материал носит информационный характер и не является юридическим советом. Нормативные акты актуальны по состоянию на апрель 2026 года. Перед принятием решений рекомендуется проконсультироваться с лицензированным юристом, специализирующимся на регулировании виртуальных активов в ОАЭ.